SIEM: 6 armadilhas na implantação
Complexos, projetos de SIEM muitas vezes não correspondem às expectativas de seus usuários e falhas ou implantações abandonadas não são incomuns. O Gartner identificou as 6 armadilhas que comumente ocorrem nesses tipos de projeto:
1. Incapacidade de planejar antes de comprar
Apesar da percepção comum de que as soluções SIEM são complexas e caras, muitas organizações desconsideram as melhores práticas e escopo do projeto. A chance de sucesso da implementação de um projeto de SIEM sem planejamento é baixa e pode condená-lo antes mesmo de começar. O investimento necessário em tempo, recursos e potenciais custos adicionais superam os benefícios percebidos de avançar sem planejamento. O SIEM não é para todos e, ao estudar a viabilidade do projeto, pode ser que se conclua que os requisitos inerentes não atendem às necessidades da empresa.
2. Falta de definição de escopo
A seleção de uma solução de SIEM deve ser baseada com uma compreensão clara do escopo, objetivos e casos de uso associados. Implantação sem um escopo definido é como construir uma casa sem alicerces: não é apenas um processo cheio de perigos... eventualmente ela acabará por ruir.
3. Definição otimista do escopo
Muitas organizações subestimam a quantidade de trabalho e, para obter o valor máximo da ferramenta, ficam tentadas a fazer tudo de uma vez. Porém, a única forma eficiente de dimensionar o SIEM para que seja uma plataforma eficaz na monitoração de toda a organização e gestão de incidentes é implementá-lo em etapas.
4. SIEM não é big data
SIEM não deve ser utilizado para capturar e armazenar todos os registros de todos os dispositivos e aplicações sem discriminação. No entanto, esse é um erro comum. O SIEM deve ser configurado para procurar e reconhecer atividades ou eventos que esteja procurando. Não é uma bola mágica - ao jogar os dados ele vai se iluminar automaticamente com um incidente de segurança identificado no ambiente.
5. Definir o que procurar
O SIEM não encontra nada que você não determine que ele encontre. Por isso as regras de correlação são tão importantes. Sem grande contextualização e fontes de dados para correlação, não há detecção.
6. Recursos insuficientes
Uma vez implantado, começarão a surgir resultados que exigem resposta e gestão. O retorno do investimento está ligado diretamente a equipe que gerencia a solução de SIEM, que exige manutenção e contínua criação de regras. Para se ter uma ideia, um típico banco de médio porte precisa de uma equipe mínima de 8 profissionais especializados para trabalhar em escala 24x7 na monitoração do ambiente de segurança.
Importante salientar que soluções de SIEM “on-premise” fornecem alguns dos mesmos benefícios que os serviços gerenciados de Monitoração de Segurança providos por um MSSP. Entretanto, a ferramenta de SIEM apenas não produz todos os benefícios que um serviço completo de Monitoração de Segurança entrega. Deve-se ter em mente que um SIEM é tão bom quanto a inteligência que se coloca nele. Sem boas regras de correlação, nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa.